Началось с того, что стали открывться окна с китайскийм языком и винда стала просить установить этот самый язык. Далее интернет отрубился напрочь. Скрипт из прошлой моей темы не помог.
Printable View
Началось с того, что стали открывться окна с китайскийм языком и винда стала просить установить этот самый язык. Далее интернет отрубился напрочь. Скрипт из прошлой моей темы не помог.
в AVZ выполнить скрипт:
[CODE]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('appmgmts.dll','');
QuarantineFile('c:\windows\system32\kernels88.exe','');
DeleteFile('c:\windows\system32\kernels88.exe');
ExecuteRepair(6);
ExecuteRepair(11);
RebootWindows(true);
end.[/CODE]
После перезагрузки прислать карантин согласно Правил.
ЕСли бы Вы загрузили карантин как Вас просили, то мы помогли бы удалить трояна с первого компьютера.
как загрузить карантин?
[QUOTE=2-D;99190]как загрузить карантин?[/QUOTE]
См. Правила, приложение 3.
карантин
скрипт не помог
инет не работает
kernels88.exe - Trojan.Packed.13 по Symantec
[CODE]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
BC_DeleteFile('c:\windows\system32\kernels88.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(True);
end.
[/CODE]
После перезагрузки прислать boot_clr.log сюда в тему.
Всё сделал, но страницы в браузерах всё ещё не открываются, интернет-пейджеры теперь работают.
1.Загрузиться в SafeMode ( F8 )
В AVZ --сервис -- поиск файлов на диске (галочку на диске "С") -- ищем файл c:\windows\system32\kernels88.exe. Если найдется, удаляем без сожаления.
2.В AVZ --сервис -- Менеджер автозапуска -- отключить галочку в строчке с appmgmts.dll.
[QUOTE=2-D;99304]Всё сделал, но страницы в браузерах всё ещё не открываются, интернет-пейджеры теперь работают.[/QUOTE]
Проверьте настройки прокси-сервера:
[quote]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.3.41
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.3.1:3218
[/quote]
Эту строку пофиксить в HijackThis:
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels88.exe
И новые логи, начиная с 10-го пункта Правил, сделайте.
Вот это не понял:
Эту строку пофиксить в HijackThis:
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels88.exe
[quote=2-D;99315]Вот это не понял:
Эту строку пофиксить в HijackThis:
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernels88.exe[/quote]
[url]http://virusinfo.info/showthread.php?t=4491[/url]
Прокси исправил, работает.
Но egtxkb остался
профиксил, файлы логов сделаны уже после этой операции.
В программе Hijackthis пофиксите строку [code]O4 - HKLM\..\Run: [eklscg] C:\WINDOWS\system32\egtxkb.exe[/code] Программа AVZ - файл - выполнить скрипт - выполните скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\egtxkb.dll','');
QuarantineFile('C:\WINDOWS\system32\egtxkb.exe','');
QuarantineFile('appmgmts.dll','');
DeleteFile('C:\WINDOWS\system32\egtxkb.dll');
DeleteFile('C:\WINDOWS\system32\egtxkb.exe');
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, пришлите карантин AVZ, как написано в прил.3 правил.
профиксил, скрипт прогнал, карантин прислал
appmgmts.dll
не попал в карантин.
Попробуйте осуществить архивирование файла из безопасного режима.
сделал в безопасном
Похоже, файл не существует.
Повторите логи AVZ, дабы мы могли понять, успешным ли было удаление.
C:\WINDOWS\system32\egtxkb.exe и C:\WINDOWS\system32\egtxkb.dll - определяются, как Trojan-PSW.Win32.QQPass.td (по Касперскому) Рекомендуется поменять все пароли на данной машине.
Вроде всё чисто. Спасибо.
Да, похоже, что чисто.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\роман\\local settings\\temp\\winlogon.exe - [B]Virus.Win32.Grum.a[/B] (DrWEB: Win32.Grum)[*] c:\\windows\\system32\\egtxkb.dll - [B]Packed.Win32.NSAnti.r[/B] (DrWEB: Trojan.PWS.Gamania)[*] c:\\windows\\system32\\egtxkb.exe - [B]Trojan-PSW.Win32.QQPass.td[/B] (DrWEB: Trojan.PWS.Gamania)[*] c:\\windows\\system32\\kernels88.exe - [B]Email-Worm.Win32.Zhelatin.aw[/B] (DrWEB: Trojan.Packed.40)[/LIST][/LIST]